Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TESIS María Gabriela Hernández Pinto
TESIS María Gabriela Hernández Pinto
TESIS DE GRADO
Previa a la obtencin del Ttulo de:
Presentada por:
GUAYAQUIL ECUADOR
Ao: 2006
A G RA D E C I M I E N T O
incondicional, a mi hermano
carrera.
su gran ayuda y
colaboracin.
D E D I C ATO R IA
mi papito Pinto, a mi
y apoyaron.
TRIBUNAL DE GRADUACIN
teniendo en cuenta que la palabra activo son todos los recursos informticos
Pg.
RESUMEN.......................................................................................................II
INDICE GENERAL.........................................................................................III
ABREVIATURAS...........................................................................................IV
INDICE DE FIGURAS.....................................................................................V
INDICE DE TABLAS......................................................................................VI
INTRODUCCIN.............................................................................................1
1. ANTECEDENTES...................................................................................
....2
2.4 Vulnerabilidades..12
3. MARCO
TEORICO..16
2.2.5.1.1.1 Maliciosas....25
2.2.5.1.1.1.1 Externas.25
2.2.5.1.1.1.2 Internas...26
2.2.5.1.1.2 No maliciosas..26
2.2.5.1.3 Otros.27
2.3.1.1 Organizacin..42
2.3.1.2.6 Videocmaras.....51
2.3.1.2.9 Alarmas....52
Sistemas...53
2.3.3.2.1 Reguladores....60
.
2.3.3.2.2 UPS (Uninterruptable Power Supply/Fuente Ininterrum-
pida de Energa).....60
ciones.66
pos...67
2.3.4.1 Incendios....69
2.3.4.2 Humo...72
2.4.1.2 Roles...99
2.4.1.3 Transacciones.......99
ccin..102
2.5.2.2.2 Antivirus............111
2.5.2.2.2.1 Tcticas antivricas......111
3.1 COSO..139
3.1.3 Componentes....141
3.1.3.1 Ambiente de control....142
3.1.3.4.1 Informacin...150
3.1.3.4.2 Comunicacin...153
y Tecnologas relacionadas)...157
3.2.1 Misin.........158
3.2.2 Usuarios.....158
tecnolgica172
ros..175
4 CASO PRACTICO...204
macin.206
4.3 Objetivos....207
4.4 Alcance...208
4.5 Equipo de trabajo..210
recursos informticos......223
CONCLUSIONES Y RECOMENDACIONES
ANEXOS
BIBLIOGRAFA
ABREVIATURAS
TI Tecnologa de Informacin
que una organizacin triunfe o quiebre, es por eso que debemos brindarle
seguridad.
se encuentra la empresa.
empresa.
personas.
est expuesta.
Las amenazas que afectan las caractersticas principales de la seguridad
1. ANTECEDENTES
tres amenazas podra ser efecto del abuso y uso indiscriminado del
seguridad Red IRIS figura 1.2 que ha tomado como poblacin a las
al ao 2002.
En al ao 2004 aumentaron las denuncias a 1714 incrementando
empleados.
cada vez que les pasa algn problema ya que esto les hace que
irrecuperable.
objetivos de la empresa.
(1)
Introduccin a la Computacin, Primera Edicin, Peter Norton, Mc Graw
Hill pg: 50, 52,53.
1.3. Razones de vulnerabilidades de los Sistemas
administrativas.
mquina.
1.4. Vulnerabilidades
(2)
Administracin de los Sistemas de Informacin, Organizacin y Tecnologa,
Tercera Edicin, Kenneth C. Laudon y Jane P. Laudon,Prentice Hall
Hispanoamericana S.A., Impreso en Mxico Copyright MCMXCIV. Pag: 702,
703, 704.
Los avances en las telecomunicaciones y en el software de las
informacin.
acostumbrados.
empresas y organismos.
Pero no slo el internet es una amenaza para las organizaciones
que pueda cometer sin intencin como aquellos que son hechos con
la seguridad.
CAPTULO 2
2 MARCO TEORICO
contable y directiva.
correspondiera.
respectivamente:
amenazas.
seguridad razonable.
2.2.2 Definicin de informtica
accidentales o intencionados.
no autorizados.
necesitemos.
La seguridad informtica se preocupa de que la informacin
2.2.5 Riesgos
perdidas o daos
2.2.5.1.1.1 Maliciosas
2.2.5.1.1.1.1 Externas
esta red existen una serie de peligros como son los virus,
2.2.5.1.1.1.2 Internas
Las amenazas internas ms frecuentes son las originadas por
2.2.5.1.1.2 No maliciosas
dejar de considerarlas.
2.2.5.1.3 Otros
Otras amenazas son aquellas referentes a las que estn
entre otros.
seguridad informtica.
a continuacin:
consistente.
prospectos.
2.2.6.1.2 Anlisis de riesgos
TABLA 1
Fuente: http://www.monografias.com/trabajos14/datos/
datos.html
TABLA 2
MATRIZ DESCRIPTIVA
Alto), 4 (Alto)
Recursos
No. R1 R2 R3 R.
Informticos
1 A 3 3 1
2 B 2 2 2
3 C 1 1 3
4 D 2 4 3
5 E 3 2 2
Fuente: http://www.monografias.com/trabajos14/datos/
datos.html
TABLA 3
MATRIZ PONDERADA
P
PONDERACIN P1% P2% P3% % 100%
No RECURSOS
R1 R2 R3 R TOTAL
. INFORMTICOS
1 A 3 3 1 (P1%x3) + (P2%x3 )+
2 B 2 2 2 (P1%x2) + (P2%x2) +
3 C 1 1 3 (P1%x1) + (P2%x1) +
4 D 2 4 3 (P1%x2) + (P2%4) +
5 E 3 2 2 (P1%3) + (P2%x2) +
Fuente: http://www.monografias.com/trabajos14/datos/
datos.html
TABLA 4
MATRIZ CATEGORIZADA
P
PONDERACIN P1% P2% P3% % 100%
No RECURSOS
R1 R2 R3 R TOTAL
. INFORMTICOS
1 A 3 3 1 RIESGO ALTO
2 C 1 1 3 RIESGO ALTO
3 E 3 2 2 RIESGO MEDIO
4 B 2 2 2 RIESGO MEDIO
5 D 2 4 3 RIESGO BAJO
Fuente: http://www.monografias.com/trabajos14/datos/
datos.html
siguientes reas.
Seguridad Fsica
Seguridad Lgica
Seguridad en redes
Seguridad en el Outsourcing
Planes de Contingencia
organizacin.
poltica.
Definicin de violaciones y sanciones por no cumplir con
las polticas.
ofrecer:
recursos.
correctivos o sanciones.
inundaciones.
Amenazas ocasionadas por el hombre.
de los equipos.
organizacin.
2.3.1.1. Organizacin
Guardias de seguridad
Detectores de Metales
Sistemas Biomtricos
Proteccin Electrnica
2.3.1.1.1. Guardias de seguridad
manera:
planta.
- Visitas.
elemento disuasivo.
(4)
http://www.segu-info.com.ar/fisica/metales.htm
(5)
http://www.segu-info.com.ar/fisica/biometricos.htm
La forma de identificacin consiste en la comparacin de
(6)
http://www.segu-info.com.ar/fisica/animales.htm
As mismo, este sistema posee la desventaja de que los
deseado.
(7)
http://www.segu-info.com.ar/fisica/electronica.htm
El rea de sistemas es considerada como la ms sensible a
adecuado y exclusivo.
recursos(8):
Puerta de combinacin
Puerta electrnica
Puertas sensoriales
Registros de entrada
Videocmaras
Puertas dobles
Alarmas
difcil de duplicar.
permitir el acceso.
2.3.1.2.6. Videocmaras
visitantes
externos.
2.3.1.2.8. Puertas dobles
2.3.1.2.9. Alarmas
Las alarmas contra robo deben ser usadas hasta donde sea
sistemas
Se refiere a las precauciones que se deben tomar en cuenta
para la instalacin fsica del rea que servir como eje central
caractersticas:
disminuye la seguridad.
futuras.
procesamiento de la informacin.
fuego.
(9)
http://www.rediris.es/cert/doc/unixsec/node7.html
Se recomienda que la presencia de aire en el rea de
suciedad
correctamente.
de procesamiento.
en la seguridad fsica.
por l son(10):
sobrecargas en el equipo.
fiables.
Reguladores
Auditoria Informtica, Segunda Edicin, Jos Antonio Echenique Garca,
(11)
Switch de emergencia
Protecciones generales
2.3.3.2.1. Reguladores
los equipos.
Ininterrumpida de Energa)
de energa elctrica.
El UPS provee de energa elctrica a la computadora por un
microcomputadoras.
debidamente actualizados.
resistentes al fuego.
Los cables deben estar adecuadamente aislados y fuera
un mismo espacio(12).
cuidados.
simples de mantenimiento.
funcionamiento.
(12)
http://www.segu-info.com.ar/fisica/ergometria.htm
Mantenimiento Preventivo: Se refiere a la revisin del
del equipo.
diversos factores:
instalaciones
para la organizacin.
autorizacin de la gerencia.
equipos
utilizarlos.
Para cualquiera de estas acciones como son la reutilizacin y
datos.
2.3.4.1. Incendios
El fuego es una de las principales amenazas contra la
organizacin
sistemas son:
sustancias radioactivas.
plsticos e inflamables.
impermeables.
Lastimosamente las previsiones que se toman contra
combatirlos si se presentan.
difcil utilizarlos.
(13)
http://www.monografias.com/trabajos14/datos/datos.shtml
Correcto uso de extintores: Tambin se debe ver si el
emergencias.
2.3.4.2. Humo
considerable de humo.
corroborar su funcionamiento.
En caso de ser detectores de incendios con prolongacin
del agua.
el acceso a la misma.
inesperadas.
(14)
http://www.rediris.es/cert/doc/unixsec/node7.html
Instalacin de un falso suelo o situar los equipos a cierta
de informacin
como(15):
archivos.
la informacin.
Por esta razn se deben proteger los respaldos por lo menos
comprometido.
comprometerse.
corresponde, etc.
tenga confianza.
formas.
pueda deteriorar.
anteriores confiables.
Registro de Backups: Es obligatorio el uso de un
backups.
ellos.
otros.
2.3.8. Seguros
seguro.
procesa.
avance de la tecnologa.
Las consideraciones que debe tener la organizacin acerca
vencida.
organizacin.
pueden ser:
recuperacin de lo anterior.
valor comercial.
cmputo
sobretensiones, etc.
de cada seguro.
Suma asegurada: En todos los casos se tiene que reportar
depreciacin).
equipo.
menos depreciacin).
transmitida.
transmisin de informacin.
2.4.1. Seguridad en los accesos
no autorizadas.
autorizados.
son:
Identificacin y autentificacin.
Roles.
Transacciones.
Ubicacin y horario.
personas no autorizadas.
aplicaciones.
barrera.
siguientes consejos(19):
(19)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
Tener contraseas diferentes en mquinas diferentes. Es
ejemplos son:
de puntuacin: soy2_yo3.
quedara ArRGdP.
A9r7R5G3d1P.
- Realizar reemplazos de letras por signos o nmeros:
todo el sistema.
peridicamente.
(20)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
No mantener las contraseas por defecto del sistema. Por
cambiarla inmediatamente.
comn).
registro especial.
acceso reutilizables.
la red.
2.4.1.2. Roles
acceso.
(21)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
2.4.1.3. Transacciones
(22)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
(23)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
Se refiere al modo de acceso que se permite al usuario sobre
ejecutar programas.
(24)
http://www.segu-info.com.ar/logica/seguridadlogica.htm
Creacin: permite al usuario crear nuevos archivos,
registros o campos.
determinado.
personas.
anteriormente mencionados.
2.4.1.7. Separacin de las instalaciones de desarrollo y
produccin
datos de la organizacin.
de confusin.
atacarlas.
que viene del uso inadecuado del sistema por parte de los
propios usuarios.
Ya sea por mala fe o descuido un usuario con demasiados
de seguridad lgica.
comportamiento inesperado.
externa(25):
Jos Lucena Lpez, Universidad de Jaen, Septiembre 1999, Pag: 137, 138.
generalmente llevan a cabo los hackers. En estos casos
corporaciones.
sea este.
la organizacin.
traspasa.
antivirus apropiados.
(26)
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Ests limitaciones deben ser tomadas en cuenta por la
2.5.2.2.2. Antivirus
(27)
http://www.monografias.com/trabajos6/sein/sein.sht
Preparacin y prevencin
Deteccin de virus
Contencin y recuperacin
eficaces.
Segregacin de funciones.
Despidos y renuncias.
el historial.
individuo.
mantenimiento y limpieza.
se toman en serio.
terminen
requisitos de seguridad.
normales de trabajo.
cada empleado de forma tal que los que deben vigilar el uso
confidencial.
la organizacin.
eficacia de la empresa.
contratista.
(30)
http://www.monografias.com/trabajos56/mpt/mpt.shtml
Incremento en el costo de la negociacin y monitoreo del
contrato.
informacin.
personal.
informacin.
- Descripcin de cada servicio que est disponible.
en el contrato.
organizacin.
organizacin.
ajena a la organizacin.
actividades de la organizacin.
seguridad.
estn:
estos procesos.
funcin su prioridad.
respaldo.
su eficacia.
de seguridad.
prevencin.
entidad.
almacenamiento.
interconexin.
Passwords.- Tambin llamados User ID o Claves de Acceso son
cubrir un seguro.
Riesgo residual.- Nivel restante de riesgo despus de que se han
riesgo.
producir prdidas.
CAPTULO 3
Por este motivo el presente captulo trata en forma resumida las normas
3.1 COSO
3.1.3 Componentes
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin y seguimiento del sistema de control
objetivos establecidos.
e indicadores de rendimiento.
prctico
incluir:
existentes.
adecuada.
Pueden ser:
Manuales o computarizadas
Gerenciales u operacionales
General o especficas.
Preventivas o detectivas.
de los recursos.
el trabajo de otros.
a entidades externas.
3.1.3.4.1 Informacin
La informacin tanto generada internamente como aquella
niveles de la organizacin.
estrategias.
organizaciones.
Debido a que el sistema de informacin influye sobre la
empresa.
protegerlos.
3.1.3.4.2 Comunicacin
Al respecto tambin es claro que deben existir adecuados
otros.
de control.
La comunicacin es importante dentro de una organizacin
de nuestro trabajo.
control
su eficiencia.
al mismo tiempo.
implantacin.
organizacin.
implantado.
Tecnologas relacionadas)
los auditores.
COBIT se aplica a los sistemas de informacin de toda la empresa,
ambientes distribuidos.
3.2.1 Misin
gerentes y auditores.
3.2.2 Usuarios
COBIT:
La gerencia: para apoyar sus decisiones de inversin en
interna y externamente.
las empresas.
3.2.3 Caractersticas de COBIT
Orientado al negocio.
actividades en TI.
procesos de TI.
As como podemos observarlo en esta figura 3.1 que nos
Requerimientos
de Informacin del
Negocio
Procesos de TI
Recursos de TI
consistente y utilizable.
productiva y econmica).
responsabilidades.
comprometida la empresa.
Integridad y Disponibilidad.
expectativas de la empresa.
a la misma.
3.2.4.2 Recursos de TI
sonidos, etc.
sistematizados.
Tecnologa: incluye hardware y software bsico, sistemas
Informacin.
3.2.4.3 Procesos de TI
simple y pragmtica:
2 nos presenta:
FIGURA 3.2 Niveles de COBIT
responsabilidad organizacional.
resultado medible.
Se definen 34 objetivos de controles generales, uno para
Planeacin y Organizacin
Adquisicin e Implementacin
Prestacin y Soporte
Monitoreo
son:
Planeacin y organizacin
- Evaluacin de riesgos.
Adquisicin e implementacin.
tecnolgica.
futuros.
condiciones de la TI.
TI.
forma continua.
protecciones y controles.
infraestructura tecnolgica
consideracin:
rendimiento.
almacenados en el mismo.
procedimientos
permanentemente actualizados.
Materiales de entrenamiento. Estos deben ser
seguridad.
continuidad.
terceros
organizacin.
consideracin:
sea apropiado.
Acuerdos de confidencialidad. Debern estar
acordados.
usuario.
organizacin.
sistemas informticos.
3.2.4.3.4.2 Educacin y entrenamiento de usuarios
servicios de informacin.
trabajo.
3.2.4.3.4.3 Apoyo y asistencia a los clientes de TI
cualquier problema.
dado.
caso prctico.
una organizacin.
ISO 17799 define la informacin como un activo que posee valor
adecuada.
asociados.
El objetivo de la norma ISO 17799 es proporcionar una base comn
1. Poltica de seguridad.
7. Control de accesos.
Objetivo.-
informacin.
Objetivo.-
organizacin.
otra organizacin.
forma.
Objetivo.-
organizacin.
informacin.
la organizacin.
3.3.4 Seguridad ligada al personal
Objetivo.-
poltica de seguridad.
aprendiendo de ellos.
seguridad global.
de servicios, etc.
Objetivo.-
Objetivo.-
de tratamiento de informacin.
de la organizacin.
para la organizacin..
Objetivo.-
en los sistemas.
Objetivo.-
sistemas de informacin.
la informacin.
segura.
Objetivo.-
desastres.
adecuados.
peridicamente.
Objetivo.-
requerimiento de seguridad.
de la misma.
3. Maximizar la efectividad y minimizar la interferencia de o
informacin.
informacin).
agrupar en:
Responsabilidades de la Administracin.
informacin)
para:
documentos.
sean identificados.
fcilmente identificables.
aplicables a su clasificacin.
identificados.
ISMS.
la informacin.
ISMS.
del mismo.
definidos en un procedimiento.
4. CASO PRCTICO
agrcola ecuatoriano.
AGROPEC S.A. se encuentra estructurada operativamente por dos
industria.
informacin
siguientes:
actividades.
y control en informtica.
Inters de los Gerencia en asegurar que se cubra y proteja los
contingente.
4.3 Objetivos
informacin son:
organizacin.
4.4 Alcance
integrantes de la compaa.
Jefe de sistemas:
a la empresa.
Asistente de sistemas:
de contabilidad.
y de los servicios.
Control de Inventario.
Mantenimiento de la red.
protectores electrnicos.
gerencia.
trabajo.
Telconet.
Base de Datos
TELCONET).
programacin:
Datos.
Tesorera
Inventario
Contabilidad
Control de Bodegas
Reportes Estadsticos
Seguridad
Sistemas Operativos:
- LINUX
Utilitarios:
- Office 97
- Outlook Express
- Mira scan
- Epson scan
- Acrobat reader
- Nero
(Ver Anexo 5 al 20) los cuales fueron respondidos por los dos
pasos:
recursos informticos.
recursos informticos.
Matriz Categorizada
dentro de la organizacin:
Sistema de Control.
Nivel de sensibilidad.
Complejidad.
Materialidad.
Imagen.
recursos informticos.
manera:
importante.
4.8.5 Matriz Categorizada
pasos:
riesgo.
cada riesgo.
de la organizacin.
Seguridad fsica
Seguridad en el Outsourcing
Seguridad lgica
Seguridad en redes
la elaboracin del plan (Ver Anexo 28). Pero hay que dejar en claro
informtica.
todos los niveles de la organizacin, que requiere del apoyo de todos ellos
S.A. dio a conocer a todo el recurso humano que en ella laboran los riesgos
sistemas, sino tambin por las prdidas de productividad que puede generar
un incidente de seguridad
de Sistemas
informacin.
informtica.
en la empresa.
trabajo propone.
riesgo de la empresa.
esos riesgos.